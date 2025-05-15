NCC Group informó previamente sobre una técnica similar.

En noviembre de 2022, LAC informó sobre una variante de Claimloader que probablemente se dirige a organizaciones de gobierno en Filipinas en una cadena de infección casi exactamente igual a la actividad en 2023-2024 detallada en las secciones anteriores. La variante almacena su carga útil como bloques de 32 bytes de cadenas de pila cifradas, antes de descifrar cada una de ellas. También copia el ejecutable legítimo y la DLL Claimloader a un nuevo directorio antes de intentar establecer persistencia a través del registro o tareas programadas, convirtiéndose efectivamente en un instalador además de un cargador.

Tras su ejecución, el malware comienza creando un mutex hardcodeado para asegurarse de que sólo se ejecuta una única instancia de Claimloader. A continuación, comprueba si hay un argumento de línea de comandos específico, que no está presente en la primera ejecución. Si ese es el caso, Claimloader copiará tanto el EXE como la DLL en un nuevo directorio discreto, a menudo en "C:\ProgramData\", imitando un directorio de software como:

C:\ProgramData\NVIDIACorporatione\

C:\ProgramData\NVIDIACorporation\

C:\ProgramData\jxbrowserEdgeBLA\

C:\ProgramData\jxbrowserEdgeIDWT\

C:\ProgramData\JxbrowserChromium\

C:\ProgramData\FastPerfPDF\

C:\ProgramData\NVIDIAFrameViewSDK\

Este comportamiento lo utilizan la mayoría de las muestras más recientes de Claimloader y también puede provocar ejecuciones en entorno aislado sin éxito.

A continuación, el malware establece persistencia en el inicio de sesión almacenando la ruta del EXE con el argumento correcto de línea de comandos en una nueva clave de registro, nuevamente con un nombre de software discreto debajo:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run